XenMobileのセキュリティ 第2回

この内容をPDFで読む

XenMobileのセキュリティ ホワイトペーパー

第1回はこちら

XenMobileによるモバイルアプリケーション管理

シトリックスのソリューションのMAM機能の集まりをMDXと呼びます。これが、パブリッククラウドとプライベートクラウドの両方に、モバイルデバイスからアクセスするための統合的で安全な入口(インターフェイス)になります。さらに、MDMはモバイルプラットフォームから、仮想アプリケーションや仮想デスクトップを利用するための入り口にもなります。つまり、シトリックスのモバイルプラットフォームでは、デスクトップ用のVDI/仮想アプリケーション構想を完全にポータブルなものにすることができます。パブリックストアにはApple、Google、Amazonの製品などを、そしてプライベートアプリケーションストアには社内開発アプリケーションを、デバイスへの配布用として登録します。そして、コンパイル時にこれらのアプリケーションにポリシーを埋め込んだり、ラッピングという手法を使って、コンパイル後にポリシーを適用することができます。さらに、この2つの方法を組み合わせたハイブリッドな手法として、XenMobileのアプリケーションラッピングポリシーを利用できるように、専用にプログラミングされたパブリックアプリケーションを利用することもできます。

MDXではXDM(XenMobile Device Manager)の機能が利用され、MDMクライアント(Worx Home)と、通常は企業のDMZの中に配備されるNetScaler Gatewayとの間がSSL通信チャネルで結ばれます。この技術を基盤にして成り立っているのがシトリックスのMDXテクノロジーであり、一般にその総称がMAMと呼ばれています。

このソリューションには、セキュアなWebブラウザ、メール/カレンダー/アドレス帳コンテナ、そしてCitrix ShareFile(follow meデータソリューション)が組み込まれていています。これにより、次の機能が実現されます。

  • デバイス上の全アプリケーションに企業ネットワークを開放してしまう包括的なVPNソリューションを使わずに、イントラネットサイトをシームレスにブラウズする機能。
  • モバイルデバイス上のファイルとDBのAES-256暗号化。コンパイル時に、またはラッピング技術を使って、アプリケーションデータに暗号化標準を適用できます。アプリケーションで保存される全データがセキュアなコンテナの中で保管され、ファイルと埋め込みSQLテクノロジーの両方がデバイス上で暗号化されます。
  • これらのアプリケーションのネットワークアクセス制御をこのソリューションで管理し、アプリケーションやドメイン名などに基づいて、セキュアなSSLチャネルを使ってネットワーク接続を適切にルーティングできます。
  • デバイス上のユーザーのプライベート用のアプリケーションを企業から分離。アプリケーションごとに、そのアプリケーションでしか利用できない専用のSSL暗号化トンネルを利用できます。
  • シングルサインオン(SSO)、セキュアなアプリケーション間通信、情報/データのコンテナ化、デバイスの状態に応じた制限の適用など、MDXの全セキュリティ機能の継承。

アプリケーション単位の暗号化とポリシー

XenMobileでは、コンパイル前とコンパイル後のどちらでも、アプリケーション固有のポリシーを埋め込むことができます。ソースコードにアクセスできるのであれば、その中に1行のコードを追加するだけで、XenMobileのセキュリティとポリシーをアプリケーションに組み込むことができます。

ソースコードへのアクセスを行えない場合は、アプリケーションラッピングツールを使用します。このツールはiOSとAndroidシステムのどちらでも利用できます。

ただし、パブリックアプリストアで登録・配布されているアプリケーションをラッピングすることは、Appleの規定で禁止されています。このようなアプリケーションをラッピングするには、該当するアプリケーションの開発者の協力が必要です。

IT部門にとっては、このことが問題になります。仕事に使えるけれど、IT部門による制御が必要な既成のアプリケーションがたくさんあるからです。この理由から、シトリックスは大勢のアプリケーション開発者と協定を結び、シトリックスのソリューションに対応した既成のアプリケーションを提供してもらっています。

この文書の執筆時点で、85を超えるアプリケーションがWorx Enabled Partnersストアに登録されています。このレベルのサポートとMAM資産の増強を実現しているベンダーは他にはありません。

コンパイル時やラッピング技術によって調整されたアプリケーションには、アプリケーション単位の暗号化を行う機能が組み込まれ、OSの暗号化機能にかかわらず、AES-256ライブラリを利用してアプリケーションを暗号化できます。これにはローカルファイルやデータベースも含まれます。デバイスが脱獄/ルート化されたとしても、アプリケーションの内容を保護できます。

さらに、アプリケーションとそのデータへのオフラインアクセスも実現できます。この機能を有効にすると、ユーザーパスワードの強力な暗号化ハッシュがデバイスに記録されます。このハッシュはAES-256暗号化コンテナの中で保管されます。

XenMobileのアーキテクチャー

xenmobile_security_image4

XenMobileのコンポーネント

この文書の目的では、次のコンポーネントの配備を検討できます。コンポーネント間の依存関係はほとんどありません。また、いくつかのコンポーネントは同じサーバーにまとめて配備できます。
xenmobile_security_image5